Un nuevo ransomware que podría estar orquestado por ciber actores del sexo femenino esta presente en el panorama de amenazas mundial, se hace llamar “MalasLocker” y su objetivo son los servidores de Zimbra vulnerables o comprometidos, con el propósito de sustraer correos electrónicos y encriptar archivos. Sus actividades fueron detectadas a fines de marzo de este año y a la fecha son muchas las empresas y organizaciones que han reportado la afectación de este nuevo malware.
Método de infección
No está claro en este momento cómo los actores de amenazas están afectando los servidores de Zimbra pero se presume que podría ser a través de la explotación de las vulnerabilidades asociadas a los siguientes CVE-2022-27924, CVE-2022-27925, CVE-2022-30333 y CVE-2022-37042.
Nota de rescate
Al igual como otros ransomware despliega notas de rescate llamadas README.txt, la diferencia está en el contenido de estas notas en las cuales se solicita a las víctimas una donación a una organización benéfica sin fines de lucro validada por los ciber actores para obtener a cambio el descifrador y evitar la filtración de los datos robados.
"A diferencia de los grupos de ransomware tradicionales, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica. Simplemente le pedimos que haga una donación a una organización sin fines de lucro que aprobemos. Es beneficioso para todos, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea" dice la nota de rescate de MalasLocker.
Ilustración 1: Nota de rescate “MalasLocker”
Fuente: BleepingComputer
Las notas de rescate contienen una dirección de correo electrónico para contactar a los actores de la amenaza o una URL de TOR que incluye la dirección de correo electrónico más reciente del grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador.
Víctimas
Hasta el momento en el sitio Onion de MalasLocker en la DeepWeb, se distribuyen los datos robados a 3 empresas y en aviso hay otras 169 víctimas de distintos países varios de ellos georeferenciados en Italia, evidenciándose los ataques según su sitio de extorsión desde el 9 de abril del 2023.
La página principal del sitio de fuga de datos también contiene un mensaje largo lleno de emojis que explica lo que representan y los rescates que requieren.
"Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envíen para que podamos verificar la firma DKIM y asegurarnos de que el correo electrónico sea real", dice el comunicado.
Esta demanda de rescate es muy inusual y, si es honesta, coloca la operación más en el ámbito del hacktivismo.
Ilustración 2: Víctimas en sitio Onion de MalasLocker
Fuente: CCI Entel
Ilustración 3: Aviso informativo con emojis "MalasLocker"
Fuente: CCI Entel
Tipo de Cifrado
No ha identificado el cifrador para el ransomware "MalasLocker". Sin embargo, el bloque codificado en Base64 en la nota de rescate se decodifica en un encabezado de herramienta de cifrado “Age” necesario para descifrar la clave de descifrado privada de la víctima.
Ilustración 4: Detección de cifrado poco usado “Age” decodificado en base 64
Fuente: BleepingComputer
La herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y líder de seguridad Go en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256.
Este es un método de encriptación poco común, con sólo unas pocas operaciones de ransomware usándolo, y todas ellas dirigidas a dispositivos distintos al sistema operativo Windows.
Hallazgos
Múltiples víctimas han reportado el descubrimiento de archivos JSP sospechosos que han sido cargados en las siguientes ubicaciones:
Estos archivos fueron encontrados bajo distintos nombres, entre ellos:
BleepingComputer detectó, que este código se basa en un webshell de código abierto como se nuestra la siguiente ilustración:
Ilustración 5: WebShell de código abierto
Fuente: BleepingbComputer
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.bleepingcomputer.com/news/secu... |
Tipo | Indicador |
---|---|
Ransomware MalasLocker | . |
hash | 3f5a5f7d369edc3334897466aec... |
hash | 47ecddbe356229c69c3e39a822f... |
MD5 | e2832b2d7f9b36de895b4bd5de... |
MD5 | 8d4cbc0931d35f0ce8da20118f0... |